Yıllardır bilinen Microsoft Office güvenlik açıklarından hala aktif olarak yararlanılmaktadır. Siber saldırganlar bunları bilgisayarlara kötü amaçlı yazılım veya kötü amaçlı yazılım bulaştırmak için kullanır.
Yazılım güvenlik güncellemelerinin her zaman ve mümkün olan en kısa sürede uygulanması gerektiğinin bir başka kanıtı.
SmokeLoader’ın dönüşü
arasında Fortinet siber güvenlik araştırmacıları Böylece SmokeLoader’ı dağıtmak için kullanılan yama uygulanmamış güvenlik açıklarını vurguladık.
Windows çalıştıran bilgisayarlara yüklendikten sonra bu kötü amaçlı yazılım türü, Trickbot dahil olmak üzere diğer kötü amaçlı yazılımları ve ayrıca çeşitli arka kapılar ve Truva atlarını yayar.
Söz konusu iki güvenlik açığı neredeyse beş yıllık ancak SmokeLoader’ı dağıtmak için kullanılıyor olmaları hala etkili olduklarını gösteriyor.
Beş yıl boyunca mevcut olan yamalar
İlk olarak CVE-2017-0199Microsoft Office’te ilk olarak 2017’de ortaya çıkan bir güvenlik açığı. Saldırganların, güvenliği ihlal edilmiş ağlarda PowerShell komut dosyalarını indirip çalıştırmalarına izin vererek, onlara sistemlere ek erişim elde etme yeteneği verir.
ikincisi CVE-2017-11882Microsoft Office’te uzaktan kod yürütülmesine izin veren bir yığın arabellek taşması güvenlik açığı.
Her iki güvenlik açığı için de güvenlik düzeltmeleri, beş yıl önce kamuya açıklanmalarından bu yana mevcuttu.
Kurban makinelerine bulaşmak için kimlik avı
Diğer birçok kötü amaçlı yazılım kampanyasında olduğu gibi, saldırganlar da kurbanlarını tuzağa düşmeleri için kandırmak için kimlik avı e-postaları kullanır.
Bu durumda araştırmacılar, kimlik avı e-postasının alıcıdan bir satın alma siparişini doğrulamasını ve doğruluğunu teyit etmek için teslimat sürelerini nasıl istediğini açıklar. E-posta, ilgili iletişim bilgileriyle birlikte tam bir imza ekleyerek mümkün olduğunca meşru görünmeye çalışır.
Neyin satınalma siparişi olması gerektiğini görmek için kullanıcıdan “kalkanlar” içeren bir Microsoft Office belgesi açması istenir. Onu görmek için değiştirme olasılığını etkinleştirmesi istenir. Gerçekte, bu tıklama, kötü amaçlı belgenin, güvenlik açıklarından yararlanmak ve kurbanın cihazına kötü amaçlı yazılım bulaştırmak için gerekli kodu yürütmesine olanak tanır.
Siber suçlular savunmasız sistemler arıyor
Fortinet’teki Kıdemli İstihbarat Mühendisi James Slaughter, “CVE-2017-0199 ve CVE-2017-11882, 2017’de keşfedilmesine rağmen, bu ve diğer kötü amaçlı yazılım kampanyalarında hala aktif olarak istismar ediliyor” diye uyarıyor.
“Bu, kötü amaçlı yazılım operatörlerinin, genellikle keşfedilmelerinden yıllar sonra, eskiyen güvenlik açıklarına güvenerek ve etkilenen çözümlerin yamalanmadığı gerçeğine güvenerek yollarına devam ettiklerini gösteriyor” diye ekliyor.
Yama uygulanmamış güvenlik açıkları, birçoğu interneti savunmasız sistemler ve sunucular için aktif olarak tarayan siber suçlular için en yaygın saldırı vektörlerinden biri olmaya devam ediyor. Bu nedenle, kuruluşların kötü amaçlı yazılım saldırılarını önlemek için güvenlik güncellemelerini mümkün olduğunca çabuk uygulamaları önemlidir.
Trickbot’a dikkat edin
Fortinet araştırmacıları, SmokeLoader’ın yaygın olarak fidye yazılımlarını ve son derece yıkıcı olabilecek diğer siber tehditleri yaymak için kullanılan Trickbot’u yaymak için kullanıldığını belirtti.
SmokeLoader ve benzeri kampanyaların kurbanı olmamak için en iyi yol, güvenlik yamalarının uygulandığından emin olmaktır.
Özellikle bu durumda, yamalar yıllardır mevcut olduğundan…
Kaynak : ZDNet.com